DeFi borç verme protokolü Compound Finance’in fork’u Onyx, 3,2 milyon dolarlık bir saldırıya uğradı. Bu, protokolün akıllı sözleşmesinin son bir yılda ikinci kez istismar edilmesi anlamına geliyor.
Siber güvenlik firması Fuzzland’in açıklamalarına göre kötü niyetli bir sözleşme, bu haftaki saldırıdan beş dakika önce Onyx’e aktarıldı. Rakip güvenlik firmaları PeckShield ve Cyvers da saldırıdan önce OnyxDAO’da şüpheli işlemler olduğunu fark etti.
Cyvers, kayıpların çoğunun ABD doları destekli bir stablecoin olan VUSD’da gerçekleştiğini belirtti. Şüpheli saldırganın aynı zamanda yaklaşık 1,36 milyon dolar değerinde 521 ETH’ye sahip olduğu ve çalınan varlıkları henüz değiştirme girişiminde bulunmadığı belirtildi.
PeckShield ise kaybın 3,8 milyon dolara daha yakın olduğunu ifade ederek, saldırganın, Onyx’in fork ettiği Compound V2 kod tabanındaki bilinen bir hatayı istismar ettiğini ve VUSD, DAI ve USDT gibi stablecoin’lerin yanı sıra diğer kripto paraları da sızdırabildiğini aktardı.
PeckShield, X platformunda yaptığı açıklamada, “Saldırıyı kolaylaştıran bir başka sorun da, güvenilmeyen kullanıcı girdilerini doğru şekilde doğrulamayan NFTLiquidation sözleşmesiyle ilgili. Bu hata, kendi kendine tasfiye ödül miktarını şişirmek için istismar edildi” ifadelerini kullandı.
Geçen yıl da saldırıya uğradı
Geçen yıl Ekim ayında Onyx, bir tam sayı yuvarlama hatası ve flash loan saldırısı kullanılarak gerçekleştirilen 2,1 milyon dolarlık bir saldırıya uğramıştı.
Fuzzland’in kurucusu Chaofan Shou, “Geçen yılki saldırı, fork edilen Compound kodundaki bir güvenlik açığından kaynaklanıyordu. Bu sefer ise kendi mantık hataları nedeniyle kendileri bir güvenlik açığı oluşturdu” dedi.